O que é o RBAC (controle de acesso baseado em função) do Azure Synapse?

O RBAC do Azure Synapse estende as funcionalidades do RBAC do Azure para workspaces do Azure Synapse e o respectivo conteúdo.

O RBAC do Azure é usado para gerenciar quem pode criar, atualizar ou excluir o workspace do Azure Synapse e os respectivos pools de SQL, os Pools do Apache Spark e os runtimes de integração.

O RBAC do Azure Synapse é usado para gerenciar quem pode:

  • Publicar artefatos de código e listar ou acessar artefatos de código publicados;
  • Executar código em Pools do Apache Spark e runtimes de integração;
  • Acessar serviços (de dados) vinculados protegidos por credenciais;
  • Monitorar ou cancelar a execução do trabalho e examinar a saída do trabalho e os logs de execução.

Observação

Embora o RBAC do Synapse seja usado para gerenciar o acesso a scripts SQL publicados, ele fornece apenas controle de acesso limitado e não é usado para controlar o acesso aos pools de SQL dedicados. O acesso aos pools de SQL é controlado principalmente por meio da segurança do SQL.

O que posso fazer com o RBAC do Azure Synapse?

Estes são alguns exemplos do que você pode fazer com o RBAC do Azure Synapse:

  • Permitir que um usuário publique alterações feitas em notebooks e trabalhos do Apache Spark para o serviço em tempo real.
  • Permitir que um usuário execute e cancele notebooks e trabalhos do Spark em um Pool do Apache Spark específico.
  • Permitir que um usuário use credenciais específicas para executar pipelines protegidos pela identidade do sistema do workspace e acessar dados em serviços vinculados protegidos com credenciais.
  • Permitir que um administrador gerencie, monitore e cancele a execução do trabalho em Pools do Spark específicos.

Como funciona o RBAC do Azure Synapse

Assim como o RBAC do Azure, o RBAC do Azure Synapse funciona pela criação de atribuições de função. Uma atribuição de função consiste em três elementos: uma entidade de segurança, uma definição de função e um escopo.

Entidades de segurança

Uma entidade de segurança é um usuário, um grupo, uma entidade de serviço ou uma identidade gerenciada.

Funções

Uma função é uma coleção de permissões ou ações que podem ser executadas em tipos de recursos ou tipos de artefatos específicos.

O Azure Synapse fornece funções internas que definem coleções de ações que correspondem às necessidades de diferentes personas:

  • Os administradores podem obter acesso completo para criar e configurar um workspace
  • Os desenvolvedores podem criar, atualizar e depurar scripts SQL, notebooks, pipelines e fluxos de dados, mas não podem publicar nem executar esse código em recursos/dados de computação de produção
  • Os operadores podem monitorar e gerenciar o status do sistema, a execução do aplicativo e os logs de revisão, sem acesso ao código nem às saídas da execução.
  • A equipe de segurança pode gerenciar e configurar pontos de extremidade sem ter acesso ao código, aos dados nem aos recursos de computação.

Saiba mais sobre as funções internas do Azure Synapse.

Escopos

Um escopo define os recursos ou os artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No RBAC do Azure Synapse, o escopo de nível superior é um workspace. A atribuição de uma função com escopo de workspace concede permissões a todos os objetos aplicáveis no workspace.

Os escopos compatíveis atuais em um workspace são:

  • Pool do Apache Spark
  • runtime de integração
  • serviço vinculado
  • credencial

O acesso aos artefatos de código é permitido com o escopo do workspace. A permissão de acesso a coleções de artefatos em um workspace terá suporte em uma versão posterior.

Como resolver atribuições de função para determinar as permissões

Uma atribuição de função concede a uma entidade de segurança as permissões definidas pela função no escopo especificado.

O RBAC do Azure Synapse é um modelo aditivo como o RBAC do Azure. Várias funções podem ser atribuídas a uma só entidade e em escopos diferentes. Ao calcular as permissões de uma entidade de segurança, o sistema considera todas as funções atribuídas à entidade e aos grupos que incluem direta ou indiretamente a entidade. Ele também considera o escopo de cada atribuição para determinar as permissões aplicáveis.

Como impor as permissões atribuídas

No Synapse Studio, botões ou opções específicas poderão estar esmaecidos ou um erro de permissões poderá ser retornado ao tentar executar uma ação se você não tiver as permissões necessárias.

Quando uma opção ou um botão estiver desabilitado, se você posicionar o cursor sobre a opção ou o botão, verá uma dica de ferramenta com a permissão necessária. Entre em contato com um Administrador do Azure Synapse para atribuir uma função que conceda a permissão necessária. Veja as funções que fornecem ações específicas em Funções RBAC do Azure Synapse.

Quem pode atribuir funções RBAC do Azure Synapse?

Somente Administradores do Azure Synapse podem atribuir funções RBAC do Azure Synapse. Um Administrador do Azure Synapse no nível do workspace pode permitir acesso em qualquer escopo. Um Administrador do Azure Synapse em um escopo de nível inferior só pode permitir acesso nesse escopo.

Quando um workspace é criado, o criador recebe automaticamente a função Administrador do Azure Synapse no escopo do workspace.

Para ajudá-lo a recuperar o acesso a um workspace caso nenhum administrador do Synapse seja atribuído ou esteja disponível para você, os usuários com permissões para gerenciar atribuições de função do RBAC do Azure no workspace também podem gerenciar atribuições de função do RBAC do Synapse, permitindo a adição de administrador do Synapse ou outras atribuições de função do Synapse.

Em que local posso gerenciar o RBAC do Azure Synapse?

O RBAC do Azure Synapse é gerenciado no Synapse Studio com as ferramentas de controle de acesso no hub Gerenciar.

Próximas etapas

Entenda as funções RBAC internas do Azure Synapse.

Saiba como examinar as atribuições de função RBAC do Azure Synapse para um workspace.

Saiba como atribuir funções RBAC do Azure Synapse